留意点は以下の通り。

• プライバシーポリシーのリンクが機能していること

  • OAuth認証の欄
  • ホームページ内のプライバシーポリシー

• プライバシーポリシーの内容

  • 個人情報の取り扱いについて明記されていること
  • データセーフティーに関して明記されていること
  • 実際に審査が通ったアプリのプライバシーポリシー

• Fitness API使用のデモ動画

  • 実機で録画すること
  • 端末の言語設定は英語にすること（使用許可ダイアログが英語表記でないといけないため）
  • アプリ起動 → Fitness APIの使用を許可 → 歩数を取得して表示されるまでのシーンを録画
  • Fitness APIの使用許可ダイアログが出ない場合は、Google Fitから連携するアプリに既に組み込まれているため、解除する。
  • YouTube or Google Driveにアップロードしてリンクを共有する。

静的解析スキャンでレポートを作成

以下のドキュメントを参考にスキャンする
https://docs.fluidattacks.com/tech/scanner/standalone/casa/

dockerコンテナをダウンロードする。

docker pull ghcr.io/fluidattacks/makes/arm64:latest

fluid-config.yamlをセットする。

namespace: sekaiisan_walking
output:
  file_path: ./Fluid-Attacks-Results.csv
  format: CSV
working_dir: .
language: EN
sast:
  include:
    - ./android
sca:
  include:
    - ./android
  exclude:
    - ./android/Gemfile.lock
apk:
  include:
    - ./build/app/outputs/apk/production/release/app-production-release.apk

スキャンを実行する。

docker run -v .:/working-dir ghcr.io/fluidattacks/makes/arm64 m gitlab:fluidattacks/universe@trunk /skims scan ./fluid-config.yaml

スキャンされたFluid-Attacks-Results.csvの内容を見て、指摘事項を解消する。指摘事項があるが解消しなくても良いと判断したものはその理由を揃える（後述）

PwC Digitalにレポートを提出

PwC Digitalにレポート結果を送信する。

TODO

※提出から2週間はかかる見込み

指摘事項の対応

• 9. Sensitive information in source code
  • FirebaseのキーがNGになるが、Firebaseのドキュメントを引用して問題ないことを伝えた。
• 268. Insecure service configuration - Webview
  • setJavaScriptEnabledがtrueでNGになるが、WebViewでallowFileAccessFromFileURLsとallowUniversalAccessFromFileURLsの設定をfalseにしており、クロスオリジン リソース アクセスを禁止しているため問題ないと伝えた。利用しているWebViewのドキュメント

https://techblog.jmdc.co.jp/entry/20231216

https://appdefensealliance.dev/casa/tier-2/ast-guide/static-scan?hl=ja